Часто бывает, что нет возможности настроить подключение по VPN для пользователей, и часто RDP пробрасывается наружу.. Кто-то даже не меняет порт, что в свою очередь пагубно отражается на безопасности всей сети...

Проброс порта делается исключительно через dstnat, и никак иначе, никаких netmap — он нужен совершенно для других задач. Экспорт: /ip firewall nat add action=dst-nat chain=dstnat comment="DstNat to 80" dst-port=81 \ in-interface=GE1-WAN1 protocol=tcp \ to-addresses=172...